Lummaは、インフォスティーラー型マルウェアです。
Webブラウザーのパスワード情報や暗号資産ウォレットを探し、情報を持ち出してしまいます。
Lummaは、少なくとも2022年8月には脅威活動が確認されていました。
最初の観測以降、いろいろな手法で脅威アクターに使用されてきているのですが、そんなLummaの最近の脅威活動が新たに観測されています。
- 配布場所はPyPI
PyPIは、Python Package Indexです。
Pythonパッケージを管理するためのサービスで、誰でもパッケージを登録できます。
ここが今回の配布場所になっています。 - 戦術:公開名が似ている
公開名は、crytic-compilersでした。
PyPIで公開されているcrytic-compilersというパッケージがありました。
これは、人気のあるパッケージに似た名前の別のものでした。
人気のあるオリジナルのほうのパッケージは、crytic-compileです。
名前は、ほぼ同じです。
今回の例ではtypoではなく、末尾にありそうなものが余計にくっついている形式でした。
オリジナルのcrytic-compileは、暗号資産開発者がブロックチェーンネットワークに保存されるデジタル契約のコンパイルを容易にするために使用することのあるパッケージです。
暗号資産の関連する開発を行っている人の環境には、暗号資産のウォレットがあるんじゃないか、そんな想定なのでしょうか。 - 戦術:バージョンが続きに見える
オリジナルのcrytic-compileは最新のバージョンが0.3.7です。
人気があり毎月多くダウンロードされていて、Starも多いです。
マルウェア配布に使われるcrytic-compilersのバージョンは、0.3.7から始まり0.3.11まで順次インクリメントされたものが公開されています。
いかにも名前を変えて開発を継続しているような体裁をとっています。 - 戦術:オリジナルもついでに入れておく
マルウェア配布手段であるcrytic-compilersは、インストールが開始されると、とりあえずオリジナルのパッケージも環境に展開します。
これで早期にばれることは回避できるのかもしれません。 - ターゲットはWindows環境
配布パッケージが展開される中で、環境のOSの判定が行われます。
判定結果がWindowsだった場合、ひとつのバイナリが取得され動作を開始します。
バイナリの名称は、s.exeです。
このバイナリは、含まれるIoCからLummaであると考えられています。
LummaはダークウェブでMaaS(Malware as a Service)で提供されています。
Lummaを入手した脅威アクターが考えた配布手法がこれだったということでしょう。
似た名前で公開して、バージョン番号が続きで、オリジナルのパッケージの動きも提供できる、そんな仕上がりでした。
すでにこの悪意あるパッケージの配布はできない状態になっていますが、この戦術は容易に他の脅威に転用できるものに思えます。
こんな手法の脅威があるということを踏まえ、日々気を付けていこうと思います。
Russia-linked ‘Lumma’ crypto stealer now targets Python devs
https://www.sonatype.com/blog/crytic-compilers-typosquats-known-crypto-library-drops-windows-trojan
| この記事をシェア |
|
|---|
